افشاء اطلاعات از طریق اتصالات رمزگذاری نشده افزونه‌های محبوب کروم

تحقیقات اخیر نشان داده است که چندین افزونه پرکاربرد گوگل کروم، داده‌های حساس کاربران را از طریق اتصالات HTTP رمزگذاری نشده منتقل می‌کنند و میلیون‌ها کاربر را در معرض خطرات جدی برای حریم خصوصی و امنیت قرار می‌دهند.

این یافته‌ها که توسط محققان امنیت سایبری منتشر شده و جزئیات آن در یک پست وبلاگ توسط سیمانتک آمده است، نشان می‌دهد که چگونه افزونه‌هایی مانند:

رتبه PI (ID: ccgdboldgdlngcgfdolahmiilojmfndl)

وی‌پی‌ان مرورگر (BrowseC (ID: omghfjlpggmjjaagoclmmobgdodcjboh)

برگه جدید MSN (ID: lklfbkdigihjaaeamncibechhgalldgl)

رتبه SEMRush (ID: idbhoeaiokcojcgappfigpifhpkjgmab)

مدیریت رمز عبور DualSafe و صندوق دیجیتال (ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc)

افزونه‌های دیگری نیز وجود دارند که داده‌های کاربر را به روش‌هایی مدیریت می‌کنند که راه را برای استراق سمع، پروفایل‌سازی و سایر حملات باز می‌کند.

افزونه‌هایی که وعده حریم خصوصی می‌دهند، برعکس عمل می‌کنند.

اگرچه این افزونه‌ها قانونی هستند و قرار است به کاربران در نظارت بر رتبه‌بندی وب، مدیریت رمز‌های عبور یا بهبود تجربه مرور خود کمک کنند، اما در پشت صحنه، درخواست‌های شبکه را بدون رمزگذاری ارسال می‌کنند و به هر کسی در همان شبکه اجازه می‌دهند دقیقاً ببیند چه چیزی ارسال می‌شود.

در برخی موارد، این شامل جزئیاتی مانند دامنه‌هایی که کاربر بازدید می‌کند، اطلاعات سیستم عامل، شناسه‌های منحصر‌به‌فرد دستگاه و داده‌های تله‌متری می‌شود. نگران کننده‌تر اینکه، چندین افزونه نیز دارای کلید‌های API، اسرار و توکن‌های کدگذاری شده در داخل کد منبع خود بودند که بخشی از اطلاعات ارزشمندی است که مهاجمان می‌توانند به راحتی از آن سوءاستفاده کنند.

ریسک واقعی در شبکه‌های عمومی

وقتی افزونه‌ها HTTP به جای استفاده از HTTPS، داده‌ها را منتقل می‌کنند، اطلاعات به صورت متن ساده در شبکه منتقل می‌شوند. به عنوان مثال، در یک شبکه وای‌فای عمومی، یک عامل مخرب می‌تواند با کمترین تلاشی آن داده‌ها را رهگیری کند. بدتر از آن، آنها می‌توانند آن را در حین انتقال تغییر دهند.

این امر دری را برای حملاتی باز می‌کند که بسیار فراتر از جاسوسی هستند. طبق پست وبلاگ سیمانتک، در مورد Browsec VPN، یک افزونه محبوب با محوریت حریم خصوصی با بیش از شش میلیون کاربر، استفاده از یک نقطه پایانی HTTP در طول فرآیند حذف، شناسه‌های کاربر و آمار استفاده را بدون رمزگذاری ارسال می‌کند. پیکربندی افزونه به آن اجازه می‌دهد تا به وب‌سایت‌های ناامن متصل شود و سطح حمله را گسترش دهد.

نشت داده‌ها در همه زمینه‌ها

افزونه‌های دیگر نیز مشکلات مشابهی دارند. SEMRush Rank و PI Rank که هر دو برای نمایش محبوبیت وب‌سایت‌ها طراحی شده‌اند، مشخص شد که URL‌های کامل سایت‌های بازدید شده را HTTP به سرور‌های شخص ثالث ارسال می‌کنند. این امر، ایجاد گزارش‌های دقیق از عادات مرور کاربر را برای ناظر شبکه آسان می‌کند.

تب جدید MSN و صفحه اصلی MSN، با صد‌ها هزار کاربر، شناسه‌های دستگاه و سایر جزئیات دستگاه را ارسال می‌کنند. این شناسه‌ها در طول زمان پایدار می‌مانند و به مهاجمان اجازه می‌دهند تا چندین جلسه را به هم پیوند دهند و پروفایل‌هایی بسازند که در طول فعالیت مرور باقی می‌مانند.

حتی DualSafe Password Manager که ذاتاً اطلاعات حساس را مدیریت می‌کند، در حال ارسال داده‌های تله‌متری از طریق ... دیده شد HTTP. اگرچه هیچ رمز عبوری فاش نشده است، اما این واقعیت که هر بخشی از این افزونه از ترافیک رمزگذاری نشده استفاده می‌کند، نگرانی‌هایی را در مورد طراحی کلی آن ایجاد می‌کند.

پاتریک تیکت، معاون رئیس، امنیت و معماری در Keeper Security، در این مورد اظهار داشت: «این حادثه یک شکاف حیاتی در امنیت افزونه‌ها را برجسته می‌کند - حتی افزونه‌های محبوب کروم نیز می‌توانند در صورت سهل‌انگاری توسعه‌دهندگان، کاربران را در معرض خطر قرار دهند. انتقال داده‌ها از طریق HTTP رمزگذاری نشده و کد‌های مخفی، کاربران را در معرض حملات پروفایلینگ، فیشینگ و حملات دشمن در میانه قرار می‌دهد - به ویژه در شبکه‌های ناامن.»

او نسبت به عواقب این کار برای کاربران ناآگاه هشدار داد و توصیه کرد که «سازمان‌ها باید با اعمال کنترل‌های سخت‌گیرانه در مورد استفاده از افزونه‌های مرورگر، مدیریت ایمن اطلاعات محرمانه و نظارت بر رفتار‌های مشکوک در نقاط پایانی، فوراً اقدام کنند.»

تهدید حریم خصوصی و امنیت داده‌ها

اگرچه هیچ یک از افزونه‌ها به‌طور مستقیم رمز‌های عبور یا داده‌های مالی را فاش نکردند، اما افشای شناسه‌های دستگاه، عادات مرور و داده‌های تله‌متری (Telemetry) به هیچ وجه بی‌ضرر نیست. مهاجمان می‌توانند از این داده‌ها برای ردیابی کاربران در وب‌سایت‌ها، اجرای کمپین‌های فیشینگ هدفمند یا جعل هویت داده‌های تله‌متری دستگاه برای اهداف مخرب استفاده کنند.

اگرچه این موضوع در حد تئوری است، اما آخرین یافته‌های NordVPN بیش از ۹۴ میلیارد کوکی مرورگر را در وب تاریک مشاهده کرده است. وقتی این موضوع را با نشت داده‌هایی که توسط سیمانتک برجسته شده است ترکیب کنیم، پتانسیل آسیب‌رسانی آن قابل توجه می‌شود.

توسعه دهندگانی که کلید‌ها یا اسرار API را به صورت کدشده در افزونه‌های خود قرار می‌دهند، لایه دیگری از خطر را ایجاد می‌کنند. اگر مهاجمی به این اطلاعات دسترسی پیدا کند، می‌تواند از آنها برای جعل هویت افزونه، ارسال داده‌های جعلی یا حتی افزایش استفاده از سرویس سوءاستفاده کند که منجر به هزینه‌های مالی یا مسدود شدن حساب برای توسعه دهندگان می‌شود.

کاربران چه کاری می‌توانند انجام دهند؟

سیمانتک با توسعه دهندگان مربوطه تماس گرفته است و تنها DualSafe Password Manager این مشکل را برطرف کرده است. با این حال، به کاربرانی که هر یک از افزونه‌های آسیب‌دیده را نصب کرده‌اند، توصیه می‌شود تا زمانی که توسعه دهندگان مشکلات را برطرف کنند، آنها را حذف کنند. حتی افزونه‌های محبوب و شناخته‌شده نیز می‌توانند انتخاب‌های طراحی ناامنی داشته باشند که سال‌ها مورد توجه قرار نمی‌گیرند.

Hackread.com توصیه می‌کند مجوز‌هایی که یک افزونه درخواست می‌کند را بررسی کنید، از ناشران ناشناس دوری کنید و از یک راهکار امنیتی قابل اعتماد استفاده کنید. مهم‌تر از همه، هر ابزاری که نوید حریم خصوصی یا امنیت را می‌دهد، باید به دقت بررسی شود که چگونه با داده‌های شما رفتار می‌کند.

منبع: پلیس فتا

انتهای پیام/